搜索
云南省电子政务外网网络平台建设电子政务论文答辩概述主要包括:•网络平台逻辑规划•网络平台逻辑架构设计•QoS设计•可靠性设计•网络安全保障措施等本文主要描述如何在云南省电子政务专网基础之上建设云南省电子政务外网网络平台云南省电子政务网络建设现状•从2003年起,我省陆续开展了电子政务一、二、三、四期工程,建成了覆盖省级各委办厅局、16州市、129个县的云南省电子政务专网;•政务专网基于云南电信独立的传输网,采用SDH、ATM、帧中继构建了省—州市—县三级的“王”字型的骨干网,提供了VPDN接入方式,并与互联网物理隔离;•政务专网基础设施由各级电子政务网络管理中心分级负责运行维护。存在的问题•根据国家电子政务网总体规划,我国电子政务网划分为非涉密的政务外网和涉密政务内网。我省电子政务网建于2003年,并经过四期政务网络建设,但仅建设了云南省电子政务专网,且政务专网定位于政府非涉密应用,却又与互联网物理隔离,网络基础设施设计和管理与国家规划不协调。我省政务外网网络平台建设目标和任务•目标充分整合已有网络资源,建立标准统一、功能完善、安全可靠的电子政务统一外网平台。最大限度地有效保护已有投资,减少重复建设,降低建网成本,实现“借船出海”。•任务1.建设和整合统一的电子政务外网网络;2.实现政务外网内部受控互访及逻辑隔离;3.确保政务外网网络安全;4.建立统一的政务外网服务管理平台。关键技术•MPLSVPN多协议标记交换虚拟专用网。•网闸只支持单向网络连接,保证内外网在物理链路层上是完全断开的。•VPEVPE=IPVPN网关+PE,解决MPLSVPN技术与IPVPN技术各自为政的问题。•VPDN虚拟私有拨号网络。逻辑规划•专用网络区:承载各部门内部专属业务,多个部门间协同业务。可同时存在多个专用网络区。•公共网络区:承载部门间公共业务。仅存在1个公共网络区。•互联网接入区:构建在因特网上,面向社会公众服务的一个网络。主要承载信息公开、信息查询、全省政府门户网站等重要应用。仅存在1个互联网接入区。专专专专专N个专专专专专1个专专专专专专1个逻辑架构设计1.公共网络区设计2.专用网络区设计3.互联网接入区设计4.部门多区域接入设计5.网络平台逻辑架构总框图1.公共网络区设计公共网络区内各政务部门信息交互及VPDN接入其他部门省级政务外网省工商省国税州、市级政务外网县级政务外网州、市其他部门县其他部门州、市民政县民政部门DMZ区专专专专省民政业务应用系统LAN区专专专专主DMZ区WEBLAN区省网络服务管理中心DNSEMAIL…接政务外网骨干网络3G拨号用户拨号接入路由器政务外网VPDN认证系统通信链路全省政务外网内各部门通过公共网络区实现公共信息交互,获取省网络服务管理中心提供的Web\DNS\Email等服务,也可自行建立本部门DMZ。暂时无法通过专线接入的部门,可使用VPDN拨号方式接入公共网络区,获取与其他专线方式接入部门相同的功能。公共网络区内的所有部门可以访问互联网省级政务外网省工商省国税州、市级政务外网县级政务外网州、市级其他部门省民政互联网州、市级网络运维中心安全设备互联网安全设备县级其他部门互联网县级网络运维中心安全设备VPDN接入用户VPDN接入用户VPDN接入用户省级网络服务管理中心各级政务部门或用户通过对等级别的网络服务管理中心、运维中心与互联网的出口访问互联网。若部分县级电子政务外网用户对互联网的访问流量较小(红色虚线),直接通过对应上级(州、市级)网络运维中心访问互联网,从而节约运行维护成本。通过互联网接入公共网络区省级政务外网省工商省国税州、市级政务外网县级政务外网州、市级其他部门省民政州、市级网络运维中心县级其他部门县级网络运维中心VPDN接入用户VPDN接入用户VPDN接入用户省级网络服务管理中心LAN区远程分支IPSec移动用户IPSecIPSecRouterVPN网关VPNIPSecVPNIPSecVPNIPSecVPNClient移动用户SSLSSL+浏览器SSLVPN互联网在公共网络区边缘,省级网络管理服务中心与互联网的出口处放置VPN网关,提供通过互联网安全接入政务外网公共网络区的途径(如IPSecVPN、SSLVPN)2.专用网络区设计同一部门纵向建立部门专用网络区省国税其他部门省质监州、市网络运维中心州、市国税县网络运维中心县国税省级政务外网州、市级政务外网县级政务外网省民政州、市民政县民政省工商省工商路径说明民政系统专用网络区骨干网工商系统专用网络区网络服务管理中心接入骨干网公共网络区PCEPEPECECECECECEPPEPE省网络服务管理中心省工商依托政务外网传输通道,在公共网络区内通过MPLSVPN建立纵向部门专网VPN,部门专网之间不能互访、部门专网与公共网络区逻辑隔离。如民政专网(蓝线)与工商专网(红线)虽均承载于政务外网,但两者相互独立,不能互访(蓝线与红线无交叉),且对于公共网络区的其他部门无到达路径(即黑线不能接入蓝线或红线中),实现逻辑隔离。不同部门纵横交错建立专用网络区其他部门省质监州、市网络运维中心县网络运维中心省级政务外网州、市级政务外网县级政务外网省工商省工商路径说明民政、国税跨部门业务专用网络区骨干网网络管理中心接入骨干网公共网络区PCEPEPECECECECECEPPE省网络服务管理中心省工商省国税州、市国税县国税省民政州、市民政县民政其他部门其他部门依托政务外网传输通道,为各个重要的跨部门公共业务建立纵横交错的业务专网VPN。跨部门业务专网与其他专网之间不能互访、跨部门业务专网与公共网络区逻辑隔离。如民政国税业务专网(蓝线)承载于政务外网,但与其他专网相互独立,不能互访,且对于公共网络区的其他部门无到达路径(即黑线不能接入蓝线或红线中),实现逻辑隔离。专用网络区与公共网络区的受控互访其他部门省级政务外网省工商CEPE省网络服务管理中心省国税州、市级政务外网县级政务外网州、市其他部门县其他部门DMZ应用服务器部门内部专网CECEPEPE路径说明民政系统专用网络区骨干网网闸连接连接专网和公用网络区省民政州、市民政县民政公共网络区网闸网闸保证了任意时刻民政部门专网与公共网络区间没有物理链路层连接,数据只能以专用数据块方式静态的在民政部门专网与公共网络区间进行“摆渡”完成数据的隔离与交换。可通过VPDN或互联网接入专用网络区其他部门省级政务外网省工商CEPE省网络服务管理中心省国税州、市级政务外网县级政务外网州、市其他部门县其他部门公共网络区DMZ应用服务器部门内部专网CECEPEPE路径说明民政系统专用网络区骨干网网闸连接连接专网和公用网络区SSLVPN隧道省民政州、市民政县民政公共网络区SSLVPN互联网接入区VPE其他用户VPDN接入SSLVPN互联网互联网用户VPE网闸VPE(VPNPE)作为PE设备与电子政务外网骨干网连接,并可与各专网通过MPLSVPN建立连接,VPDN及互联网接入用户仅通过SSLVPN(紫线)接入政务外网专用网络区。3.互联网接入区设计面向互联网用户提供服务的互联网接入区互联接入区DMZWEBCAIPS…LAN省级政务外网州、市级政务外网县级政务外网州、市其他部门县其他部门州、市民政县民政LAN数据库部门DMZ区业务应用系统互联网安全防护安全防护安全防护省民政省电子政务外网网络服务管理中心互联网接入区承载为公众提供信息公开、信息查询、全省政府门户网站等重要应用,通过网络安全措施保障互联网接入区安全,并提供政务外网网内各部门安全更新应用服务器数据的途径4.部门多区域接入设计部门多区域接入DMZDMZLAN其他部门省级政务外网省国税州、市级政务外网县级政务外网州、市其他部门县其他部门CECEPEPE州、市民政县民政LAN省民政专用网络区省民政公用及互联网接入区省民政接入政务外网3个区域PP安全防护CE安全防护CEPEDMZLAN安全防护省质检不接入专用网络区省工商CE路径说明民政系统专用网络区骨干网公用网络区互联网接入区通过一条物理链路便可同时接入政务外网内3个区域。如:在省民政使用PE设备接入电子政务外网骨干网,同时在PE设备下连接2个CE设备,一个用于专用网络区,另一个用于公共网络区和互联网接入区。省质监没有建立专用网络区,则直接使用CE设备接入。5.网络平台逻辑架构总框图网络平台逻辑架构总框图公用网络区专用网络区DMZ安全设备安全设备LANDMZCECELANDMZ网闸专用网络区公用网络区安全设备LAN省级部门三省级部门一安全设备安全设备DMZLANCECEDMZ省级政务外网服务管理中心专用网络区公用网络区安全设备DMZLAN互联网接入区VPE安全设备LAN省级部门二PEPECECE州市级部门一CECEPECECE州市级部门三州市级部门二网闸VPE省级州、市级其他部门省级其他部门县级其他部门县级部门一县级部门二县级部门三州、市级县级仅供州市级、县级政务部门访问互联网州市级政务外网运维中心3G通信链路县级政务外网运维中心IPSECVPNSSLVPN互联网用户互联网说明专用网络区MPLSVPN公用网络区网络连接骨干网IPSECVPNSSLVPNVPDN多区接入部门专用网络区公用网络区政务外网网络服务管理中心、运维中心互联网接入区VPDN其他用户PSTNQoS设计•为不同的组(政务部门、应用等)提供不同的服务级别•为提供给特定组或应用程序的网络服务设置优先级•发现和消除网络瓶颈区域以及其他形式的拥塞•监视网络性能并提供性能统计信息•控制进出网络资源的带宽QoS服务模型Layer2HeaderMPLSHeaderIPHeaderUserDataLabelExpSTTL32bitsOr4bits20bits3bits1bits8bitsMPLSVPN专专专专传统的QoS服务模型DiffServ(区别服务),当核心路由器上出现拥塞时,区别服务模型以牺牲低优先级的业务为代价换来高优先业务的QoS,但并没有消除拥塞。因此当拥塞严重时仍然会损伤高优先级的业务。云南省电子政务外网网络平台设计使用混合模型HAMD(HybridArchitecturebyMPLSandDiffServ)。混合模型继承DiffServ对IPQoS的实现并提供良好的扩展性,并由于使用MPLS技术,克服了传统IP网络的无连接传输无法控制业务的传输路径,同时MPLS技术的高转发速度也可很好的体现。服务类别EXP丢包优先级昂贵服务111/确保服务1级110低101高2级100低011高3级010低001高最努力服务000/DiffServ模型的差分服务代码点(DSCP)共有14种,但是MPLS包头中使用EXP域只有3位,即只能表示8个PHB,所以对现有DiffServ模型的14种DSCP进行修改,使用如上左图可行的映射关系,即可实现。可靠性设计•设备可靠性选用具备电信级可靠性的核心设备,且主备设备间实时热倒换,关键部件冗余备份并支持热插拔,采用分布式体系结构。•链路可靠性采用“双星型双节点结构”,广域骨干线路的主链路和备用链路分别采用不同运营商的基础传输链路。•网络可靠性模块化设计,各区域相对独立,任一区域的故障不会扩散到其它区域。选择合理的路由协议,避免路由环路,减少路由振荡,保护某个节点失效后网络快速自愈。•应用可靠性采用HAMD(混合模型)的QoS技术保证带宽和延时等,通过MPLSVPN技术实现不同业务流相互隔离,互不影响。网络安全体系结构•网络的安全性(NetworkIntegrity)•系统的安全性(SystemIntegrity)•用户的安全性(UserIntegrity)•应用的安全性(ApplicationIntegrity)•数据的安全性(ApplicationConfidentiality)政务外网网络安全保障措施•IPS•网闸•其他•防火墙•VPNMPLSVPNIPSecVPNSSLVPN政务外网网络平台服务管理实行统一服务管理,分散运行维护模式。•省级电子政务外网服务管理中心省级电子政务外网服务管理中心以网络平台的逻辑管理为主。如VPN的